11 April 2014

Heartbeat - heartbleed - Katastrophe oder Panikmache?

von Frank Romeike

Im Internet gibt es keine 100% ige Sicherheit

Heartbleed-Patch-NeededDer Aufschrei ist groß und der Anlass nicht ganz von der Hand zu weisen - eine Komponente (Heartbeat*) des Verschlüsselungsstandards  OpenSSL weist eine gravierende Sicherheitslücke (Heartbleed) auf. Für den Laien dürfte diese Information erst einmal nicht viel hergeben.
Im Klartext bedeutet das aber: Alle Internetseiten und Dienste, die mit der betroffenen Version der weitverbreiteten OpenSSL-Verschlüsselung arbeiten, sind von aussen angreifbar und zwar so "schlimm", dass der Webserver den Angreifern unter Umständen Interna wie z. B. Passwörter von Nutzern Preis gibt.

Es hört sich schlimm an und das ist es für Betroffene wohl auch. Bewiesen wird aber durch diesen Vorfall erneut:
NICHTS im internet ist 100% sicher!
Grund zur Panik besteht allerdings nicht oder nur bedingt und wenn dann auch nur für einen bestimmten Personenkreis.

Wer und was ist also betroffen?

1. Webseitenbetreiber die Ihre Seite mit einem SSL Zertifikat verschlüsseln das die betroffene Version von OpenSSL nutzt.
2. Nutzer verschiedener Dienste (Soziale Netzwerke, E-Mailanbieter) die bei mehreren Anbietern das selbe Passwort nutzen.
Was ist zu tun:

1. Webseitenbetreiber sollten sich mit ihrer Agentur und ihrem Webspace-Provider in Verbindung setzen um herauszufinden ob sie von dem Sicherheitsleck betroffen sind. Wenn ja sollte das betroffene Zertifikat unbedingt ersetzt werden und danach alle Passwörter geändert werden.

2. Endnutzer sollten sich darüber informieren, ob Internetdienste die sie nutzen von Heartbleed betroffen sind und ggf. ebenfalls nach der Beseitigung der Heartbleed Lücke ihre Passwörter ändern.

Einige Dienste - z. B. Soundcloud kündigen auch von sich aus einen Reset der Passwörter an.

Eine Liste der betroffenen Dienste finden sie hier:


Weitere Info u. A. hier: https://netzpolitik.org/2014/drei-tage-heartbleed-was-tun/

Als grundlegende Empfehlung aber das 1000 mal gesagte: Benutzen Sie sichere Passwörter und unterschiedliche Passwörter für unterschiedliche Dienste. 
Geben Sie im Internet nichts Preis, dass Sie nicht auch auf einem T-Shirt tragen würden. Es ist nicht sicher!


* Die Komponente nennt sich Heartbeat, da sie die Funktion hat die Verbindung zwischen Server und Klient aufrecht zu halten...

Bitte Kommentar schreiben

Sie kommentieren als Gast.